Lignes directrices de la banque à distance
Transcription
Lignes directrices de la banque à distance
LIGNES DIRECTRICES RELATIVES À LA BANQUE À DISTANCE Conformément aux dispositions de l’article 2 de la loi du 17 août 1979 créant la Banque de la République d’Haïti (BRH), la banque centrale émet les présentes lignes directrices relatives aux activités de « Banque À Distance » (BAD). Ces lignes directrices s’adressent aux institutions financières admises à recevoir des dépôts. Néanmoins, vu que d’autres acteurs peuvent intervenir lors des activités de banque à distance, ces lignes directrices leur serviront également de guide afin que chacun comprenne son rôle et ses responsabilités. 1. OBJECTIFS Les objectifs visés par la BRH dans le cadre des présentes lignes directrices sont de: promouvoir l’inclusion financière ; veiller à ce que les services financiers soient fournis par des institutions financières réglementées ou leurs agents ; s’assurer de la conformité des transactions au regard des dispositifs de lutte contre le blanchiment de capitaux et le financement du terrorisme ; promouvoir un environnement concurrentiel entre les divers acteurs ; protéger les clients. 2. DÉFINITIONS Aux fins des présentes lignes directrices, on entend par : Certificat numérique : document électronique identifiant une personne physique ou morale ou un équipement ; Client : titulaire d’un compte domicilié dans une institution financière ou d’un portemonnaie électronique ; 1 Dépôt : tel que défini dans la législation en vigueur ; Institution financière : institution admise à recevoir des dépôts ; Interopérabilité : capacité d’un système à fonctionner avec d’autres systèmes existants ou futurs et ce, sans restriction d’accès ou de mise en œuvre ; Monnaie électronique : valeur monétaire stockée à travers ou sur un support électronique et qui est émise à la réception de fonds et acceptée comme moyen de paiement par des parties autres que l’émetteur ; Porte-monnaie électronique : dispositif qui permet de stocker de la monnaie et de régler directement des transactions sur des terminaux de paiement. 3. ACTIVITÉS PERMISES Dans le cadre des présentes, on entend par opération de « banque à distance » (BAD) toute fourniture de services financiers en dehors des succursales traditionnelles, à travers des agents, en utilisant les Technologies de l’Information et de la Communication (TIC). Les services financiers qui peuvent être fournis par les institutions financières, selon les limites définies ci-après, sont: l’ouverture de compte Banque à Distance (compte BAD): compte ouvert dans une institution financière à travers ses agents ; le transfert de fonds : a) transfert par un client de son compte BAD à un autre compte existant en son nom (compte d’épargne, compte courant) ; b) transfert par un client de son compte BAD à celui d’un autre client ; les dépôts et retraits : dépôt et retrait de fonds à partir d’un compte BAD en fonction des différentes options offertes par l’institution financière ; l’émission de monnaie électronique ; le paiement de biens et services : paiement effectué à partir d’un compte BAD pour acheter des biens ou services ; le paiement de salaires : paiement effectué par une entreprise à partir de son compte BAD ou de tout autre compte à celui d’un ou de ses employés ; 2 le décaissement et remboursement de prêts : le décaissement d’un prêt accordé par une institution financière peut s’effectuer sur le compte BAD de son client ; lequel peut être utilisé par le client pour le repaiement. Une limite de dix mille gourdes (G. 10,000.00) est appliquée au solde de tout compte BAD. Un maximum de dix mille gourdes (G. 10,000.00) par jour et soixante mille gourdes (G. 60,000.00) par mois est appliqué lors des transferts de fonds. La BRH se réserve le droit de modifier ces limites en fonction de la situation du marché. 4. LUTTE CONTRE LE BLANCHIMENT DES CAPITAUX ET CONTRE LE FINANCEMENT DU TERRORISME Les institutions financières doivent s’assurer que les exigences en matière de dispositif de lutte contre le blanchiment de capitaux et le financement du terrorisme sont respectées par leurs agents. Les facteurs à considérer sont : les exigences relatives à la connaissance du client « know your customer » (KYC); les limites transactionnelles par jour, mois et année en fonction du profil du client ; les limites maximales de balance débitrice et créditrice ; les exigences de sécurité technologique ; l’authentification à deux facteurs pour tout client. Les institutions financières doivent se conformer aux lois et règlements relatifs à la lutte contre le blanchiment des capitaux et contre le financement du terrorisme. 5. DES INSTITUTIONS FINANCIÈRES Seules les institutions financières définies ci-devant peuvent exercer des activités de banque à distance et émettre de la monnaie électronique. Toute institution financière doit obtenir l’approbation de la BRH avant le lancement de tout projet de banque à distance. Le dossier 3 soumis pour approbation doit comprendre au minimum le plan d’affaire, les analyses coûtsbénéfice, les arrangements opérationnels, la technologie adoptée, les accords intervenus entre l’institution financière et ses fournisseurs de services technologiques, la politique de sécurité des transactions, une certification d’une firme reconnue attestant que les exigences en matière de sécurité des transactions sont satisfaites, le système et les procédures de contrôle à mettre en place pour atténuer les risques, les modèles de contrat à intervenir entre l’institution financière et les agents. La BRH peut réclamer tout autre document ou renseignement pouvant l’éclairer sur la faisabilité du projet. Les institutions financières doivent s’assurer que les clients sont imbus, entre autres, des conditions d’utilisation, de la responsabilité de l’émetteur, des recours en cas de litige. 5.1. Rôle et responsabilités des institutions financières Dans le cadre des activités de banque à distance, toute institution financière doit: s’assurer de l’honorabilité et de l’intégrité de ses agents ; superviser ses agents ; assumer entièrement la responsabilité des actions ou omissions de ses agents. Cette responsabilité s’étend aux actions de l’agent, même si elles ne sont pas autorisées dans l’accord qui lie les parties, tant qu’elles se rapportent aux services financiers fournis par l’agent ou les questions qui s’y rattachent ; maintenir un système efficace de contrôle interne et de supervision des activités de ses agents ; élaborer et mettre en œuvre des politiques de sécurité pour protéger les systèmes de communication et de technologie, et les données ; accorder une attention particulière au risque de crédit, au risque opérationnel, au risque juridique, au risque de liquidité, au risque de réputation et aux règles de conformité relatives à la lutte contre le blanchiment de capitaux et le financement du terrorisme ; contribuer à la formation de ses agents notamment en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme ; 4 pourvoir ses agents des enseignes portant la mention claire et précise « Agent autorisé de X (nom de l’institution financière) ». Par ailleurs, les risques liés à la banque à distance (risques bancaires pour les transactions électroniques) doivent être identifiés, traités et gérés par les institutions financières de manière prudente en fonction des caractéristiques fondamentales et des défis liés aux services bancaires électroniques. En ce sens, les risques technologiques en matière d’information et de sécurité des données dans les réseaux sans fil doivent être correctement identifiés et gérés. Les institutions financières doivent établir des limites pour la fourniture des services convenus avec leurs agents. Les limites doivent être raisonnables et établies en raison du volume d’argent géré par l’agent et des risques associés à sa localisation géographique pour la conduite des affaires. Les institutions financières doivent fixer des limites pour chaque agent et le cas échéant, pour chaque type de transaction. Les institutions financières doivent publier et afficher tant dans leurs locaux que chez leurs agents les tarifs et frais appliqués à chaque type d’opérations. En outre, les institutions financières doivent publier et mettre à jour la liste de tous leurs agents sur leur site Web et dans d’autres publications qu’elles jugeront appropriées. Cette liste doit être, par ailleurs, communiquée à la BRH. La liste des agents doit être diffusée à l’ensemble de leurs branches et transmise à leurs propres agents. 6. DES AGENTS Dans le cadre des présentes, un agent est une personne physique ou morale liée par un contrat à une institution financière pour offrir certains services financiers au nom de ladite institution. 5 Peut remplir la fonction d’agent : a) Toute personne physique ayant un domicile connu, n’ayant pas été déclarée en faillite, n’ayant pas fait l’objet d’interdiction de chéquiers, n’ayant pas de casier judiciaire, et possédant une infrastructure physique appropriée. b) Toute personne morale ayant une activité commerciale établie depuis au moins 24 mois, n’ayant pas été déclarée en faillite, n’ayant pas fait l’objet d’interdiction de chéquiers, possédant une infrastructure physique appropriée et des ressources humaines capables de fournir les services avec un degré d’efficacité et de façon sécuritaire. Toute institution financière doit conclure un accord écrit avec l’agent qui agira en son nom. Les modèles de contrat doivent être soumis à la BRH pour approbation. Toute modification subséquente apportée à ces modèles doit être également soumise à la BRH pour agrément. 6.1. Rôle et responsabilités des agents Un agent est habilité à fournir, dans le cadre des présentes, les services financiers suivants conformément aux termes de l’accord intervenu entre les parties : a) Ouverture de compte BAD ; b) Dépôt et retrait de fonds ; c) Transfert de fonds. Il revient à l’institution financière de déterminer, en fonction de l’évaluation des risques, quel type de services un agent peut fournir. Dans le cadre de l’ouverture de compte, l’agent a la responsabilité d’identifier les nouveaux clients conformément aux procédures KYC. Les agents ne peuvent pas être impliqués dans le marketing et la vente des autres produits de l’institution financière. Un agent peut fournir ses services à plusieurs institutions financières à condition qu’il ait une entente de services distincte avec chaque institution. 6 7. NORMES DE SECURITÉ Les transactions électroniques autorisées seront effectuées si et seulement si elles sont faites de façon sécuritaire. Les transactions de banque à distance utilisent des certificats numériques pour prouver l’authenticité de l’émetteur de la transaction. Les institutions financières ont l’obligation de s’assurer que les transactions respectent les normes de sécurité généralement admises en matière de technologie de l’information et de la communication. En outre, elles doivent mettre en place des règles et procédures pour sauvegarder les données numériques, incluant les données personnelles des clients. Les institutions financières doivent en tout temps veiller à la sécurité et à l’efficience des équipements utilisés par leurs agents afin de prévenir toute manipulation ou altération par des personnes non autorisées. Les institutions financières doivent mettre en place les systèmes qui adressent les points suivants : a) la sécurité physique et logique ; b) la disponibilité des services ; c) la disponibilité, la confidentialité et l’intégrité des données ; d) le codage des Numéros d’Identification Personnelle (NIP)1 et des transactions électroniques ; e) la non-répudiation des transactions ; f) le traitement des messages d’erreur. 1 NIP : communément appelé PIN. 7 8. PROTECTION DU CLIENT Des systèmes et des procédures appropriés contre les risques de fraude, la perte de confidentialité et la non-disponibilité de services doivent être mis en place par les institutions financières pour protéger les clients. Les exigences suivantes doivent être respectées en tout temps : a) les institutions financières doivent mettre en place des mécanismes permettant à leurs clients d’identifier correctement leurs agents et les services fournis par ces derniers ; b) les agents doivent émettre des reçus pour toutes les transactions qu’ils réalisent. Les institutions financières doivent fournir à leurs agents des équipements capables de générer ces reçus ; c) un canal de communication pour traiter les plaintes des clients doit être mis en place par les institutions financières. Ces dernières doivent fournir des moyens pour enregistrer les plaintes de leurs clients. Les clients peuvent aussi utiliser ces mêmes moyens pour vérifier avec l’institution financière l’authenticité et l’identité de l’agent, sa localisation et la validité de sa relation d’affaires avec l’institution financière ; d) les institutions financières doivent établir un mécanisme de traitement des plaintes et s’assurer que ce mécanisme soit communiqué aux clients ; e) les plaintes des clients doivent être adressées dans un délai raisonnable ne dépassant pas trente (30) jours. Les institutions financières doivent garder l’historique des plaintes et la manière dont ces dernières ont été adressées ; f) le client doit être sensibilisé sur le fait qu’il doit garder son NIP et toutes informations critiques de manière confidentielle et sur le fait de ne les partager avec personne incluant les agents. 9. SYSTÈME DE PAIEMENTS Les principes régissant la compensation et le règlement sont applicables aux activités de banque à distance. Toutefois, vu certaines spécificités inhérentes à la banque à distance, une convention devra régir les relations entre les institutions financières et la BRH. 8 Les transactions sont traitées par le système de paiement de la BRH (Processeur de paiement universel, Règlement Brut en Temps Réel (SPIH), …) qui s’assure de: a) la compensation et du règlement en temps réel de toutes les transactions ; b) la sauvegarde de toutes les preuves des transactions ; c) la réconciliation journalière de toutes les transactions. 10. INTEROPÉRABILITÉ Tous les processeurs de paiements (Switch), les Guichets Automatiques Bancaires (GAB)2, les points de vente (POS), les produits tels les cartes ou téléphones mobiles de paiements, déployés ou offerts par les institutions financières doivent être compatibles avec le processeur de paiements de la BRH et interfacés avec cette plateforme et approuvés par la BRH avant tout déploiement. Pour assurer l'interopérabilité entre les institutions financières, elles devront adopter les formats de message édictés par la BRH. Ces lignes directrices entrent en vigueur le 1er octobre 2010. 2 GAB: communément appelé ATM 9 NOTE ADDITIONNELLE AUX LIGNES DIRECTRICES SUR LA BANQUE À DISTANCE INTRODUCTION La Banque de la République d’Haïti (BRH) émet cette note additionnelle sur les activités de banque à distance en vue d’expliciter certains points traités dans les lignes directrices du 17 septembre 2010. Cette note constitue également un complément aux lignes directrices susmentionnées et fait partie intégrante desdites lignes. MODÈLE POUR HAÏTI Seul le modèle basé sur les institutions financières est permis dans le cadre des activités de banque à distance. Ce modèle fait intervenir des technologies, telles que les Terminaux de Paiements Électroniques (TPE), les Guichets Automatiques Bancaires (GAB), les téléphones mobiles, permettant l’identification des clients, l’autorisation des transactions et leur sauvegarde automatique. Ces technologies auxquelles viennent s’ajouter les agents, dans le cas des TPE, servent de canaux de distribution. Dans le cadre de ce modèle, chaque client effectue ses transactions par le biais d’un agent ou au moyen des technologies susmentionnées, et entretient une relation contractuelle directe avec l’institution financière. Ce modèle est implémenté en utilisant des arrangements non exclusifs avec des agents. Des accords peuvent intervenir entre l’institution financière et des compagnies de téléphonie mobile. Seul le modèle « many-to-many »1 est permis en vertu de ce type de partenariat. Chaque transaction effectuée par le client doit affecter son compte BAD et non une valeur monétaire stockée sur le moyen utilisé (téléphone mobile, carte de débit). Les balances qui apparaissent sur le téléphone mobile, par exemple, sont le reflet des balances du compte BAD. Conséquemment l’utilisation des termes « monnaie électronique » pour désigner les services décrits dans ces lignes directrices sur la banque à distance est techniquement incorrecte et est interdite. ACTIVITÉS PERMISES Le « compte banque à distance » tel que défini dans les lignes directrices est un compte de dépôt à vue domicilié dans une institution financière et qui est affecté au débit et au crédit par des transactions effectuées par son détenteur (le client) à travers des opérations réalisées chez un agent de l’institution financière, ou à travers les moyens de paiement autorisés. Ce compte 1 Un opérateur de téléphonie mobile peut établir un partenariat avec plusieurs institutions financières et une institution financière avec plusieurs opérateurs de téléphonie mobile. 1 BAD, utilisé pour des transactions de faible valeur, constitue l’un des moyens de promouvoir l’inclusion financière et d’atteindre la population non encore bancarisée. Le solde d’un compte BAD ne peut à aucun moment dépasser 10 mille gourdes. Le total des transactions de débit effectué journalièrement ne peut pas dépasser 10 mille gourdes et le cumul des transactions mensuelles ne peut excéder 60 mille gourdes. Par ailleurs, du fait même que l’émission de monnaie électronique ne peut se faire que par les institutions financières, la BRH se réserve le droit d’émettre des lignes directrices à ce sujet. MOYENS DE PAIEMENT Les moyens de paiement liés aux comptes BAD tels que la carte de débit, le téléphone mobile sont utilisés pour autoriser les transactions en temps réel. Lors des paiements par téléphone mobile, les données personnelles du client (notamment le numéro de téléphone) qui ne sont pas indispensables au déroulement de la transaction ne doivent pas être transmises à des tiers. Les données personnelles ne peuvent en aucun cas être utilisées pour des messages publicitaires. Du point de vue de la protection des données, il faut que le trafic des paiements par téléphone mobile n’implique pas plus d’exigences en termes de données personnelles que les transactions effectuées avec d’autres moyens de paiement. Le système de paiement doit être conçu de manière à limiter au maximum le risque de perte financière pour le client en cas d’abus. LUTTE CONTRE LE BLANCHIMENT DES CAPITAUX ET CONTRE LE FINANCEMENT DU TERRORISME Selon les recommandations du Groupe d’Action Financière (GAFI) adoptées par Haïti, comme membre du Groupe d’Action Financière de la Caraïbes (GAFIC), les institutions financières ont un devoir de vigilance (due diligence) qu’ils doivent prendre à l’égard de leur clientèle. La recommandation 5 est précise : « les institutions financières devraient prendre les mesures de vigilance (« due diligence ») à l’égard de leur clientèle, notamment en identifiant et en vérifiant l’identité de leurs clients lorsqu’elles nouent des relations d’affaires ». La recommandation 5 spécifie : « Les mesures de vigilance à l’égard de la clientèle sont les suivantes : identifier le client et vérifier son identité au moyen de documents, données et informations de source fiable et indépendante ». La recommandation 8 indique que : « les institutions financières devraient apporter une attention particulière aux menaces de blanchiment de capitaux inhérentes aux technologies nouvelles ou en développement qui risquent de favoriser l’anonymat, et prendre des mesures supplémentaires, si nécessaire, pour éviter l’utilisation de ces technologies dans les dispositifs de blanchiment de capitaux. Les institutions financières devraient notamment 2 mettre en place des dispositifs de gestion des risques spécifiques liés aux relations d’affaires ou aux transactions qui n’impliquent pas la présence physique des parties. » Les institutions financières sont donc tenues de mettre en place des systèmes de suivi permettant d’identifier : - les transactions inhabituelles et suspectes ; - les cas où le même compte est utilisé par plusieurs utilisateurs ; - les cas où le même client ouvre plusieurs comptes. La responsabilité finale de l’identification du client et de la vérification incombe à l’institution financière. INTEROPÉRABILITÉ Pour assurer l'interopérabilité, les institutions financières doivent adopter les formats de message des normes bancaires internationales. Le format standard de message pour les interfaces avec le Processeur National de Paiement est le ISO 8583. Le client doit être en mesure d’effectuer une transaction de banque à distance sans se soucier de l’institution financière, de l’opérateur téléphonique, de l’agent ou des canaux de distribution utilisés. Ce processus requiert un accord formel entre les différentes parties appelées à intégrer cet environnement interopérable. Port-au-Prince, le 21 février 2011 3